使用 Java 的 Servlet API 通过 HttpSession 接口(interface)提供的 Session 管理,创建一个 cookie JSESSIONID。此 cookie 用于验证用户是否创建了 session 。
但是,Servlet 是否验证此 JSESSIONID 值来自创建 session 的同一台机器?
我知道 XSS(跨站点脚本)攻击可以窃取用户的 session cookie,但是当恶意用户将 JSESSIONID 发送回服务器时,他/她是否能够检索 session 的内容?或者服务器验证发送 JSESSIONID 的用户的 IP?
最佳答案
不,它不检查同一 session 中后续请求之间的 ip 地址是否相同。但是,您可以获得该 ip 地址并使用其他名称保存在 session 中,并且可以通过您的 sel 进行检查
关于java - Java session (HttpSession) 是否验证 IP 地址?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30115960/